Tema 9. Hacking

Currículo: esta unidad cubre parte de los saberes básicos del Bloque C – Ciberseguridad (CDPC.1.C.3, CDPC.1.C.4 y CDPC.1.C.5), y con ellos puedes prepararte para superar un tercio del criterio de evaluación 3.1, la mitad del 3.2, y el 3.3 correspondiente a 1º Bachillerato.

Tabla de contenidos

• 9.1. Qué es y qué no es hacking
  • 9.1.1. Origen y evolución del término
  • 9.1.2. La diferencia entre un hacker y un ciberdelincuente
  • 9.1.3. Hacking en la cultura popular vs. realidad técnica
• 9.2. Hacking vs. Hacking ético
  • 9.2.1. Marco legal en España y la UE
  • 9.2.2. El rol del hacker ético en la ciberseguridad
• 9.3. Fases del hacking ético (Metodología estándar)
  • 9.3.1. Reconocimiento (reconnaissance)
  • 9.3.2. Escaneo y enumeración
  • 9.3.3. Explotación
  • 9.3.4. Escalada de privilegios
  • 9.3.5. Mantenimiento del acceso
  • 9.3.6. Borrado de huellas
  • 9.3.7. Redacción de informes (post-explotación)
• 9.4. Tipos de hackers
  • 9.4.1. White hat
  • 9.4.2. Black hat
  • 9.4.3. Grey hat
  • 9.4.4. Script kiddies y hacktivistas
  • 9.5.5. Otros perfiles
• 9.5. Técnicas de búsqueda de información: Information Gathering
  • 9.5.1. Técnicas de Information Gathering
  • 9.5.2. Herramientas OSINT destacadas
  • 9.5.3. Google Hacking (Dorks)
• 9.6. Escaneo: pruebas de PenTesting
  • 9.6.1. Escaneo de puertos y servicios
  • 9.6.2. Uso de herramientas como Nmap
  • 9.6.3. Detección de versiones y sistemas operativos
  • 9.6.4. Pruebas de intrusión controlada
• 9.7. Vulnerabilidades en sistemas
  • 9.7.1. Tipos de vulnerabilidades (software, configuración, humanas)
  • 9.7.2. Exploits y vectores de ataque comunes
  • 9.7.3. CVE y bases de datos de vulnerabilidades
  • 9.7.4. Sistemas de gestión de parches
• 9.8. Análisis forense
  • 9.8.1. Preservación de evidencias digitales
  • 9.8.2. Herramientas forenses básicas
  • 9.8.3. Cadena de custodia y validez legal
  • 9.8.4. Aplicaciones prácticas (casos reales)

El término «hacking» ha evolucionado desde sus orígenes en los laboratorios del MIT en los años 60, donde estudiantes exploraban los límites de la informática por pura curiosidad, hasta convertirse en un componente clave de la ciberseguridad moderna. Hoy en día, el hacking ético es una práctica legítima y de enorme importancia destinada a salvaguardar la integridad de sistemas, permitiendo identificar y corregir vulnerabilidades antes de que puedan ser explotadas por usuarios malintencionados.

El hacking ético, también conocido como «pentesting» (penetration testing) o pruebas de penetración, implica la evaluación proactiva de sistemas informáticos para identificar y corregir vulnerabilidades. A diferencia de la percepción negativa que a menudo se asocia con el término hacker, los hackers éticos emplean sus habilidades para mejorar la seguridad de la información.

En España, el marco legal regula la práctica del hacking ético, estableciendo criterios y competencias específicas para los profesionales en este campo. Por ejemplo, el Real Decreto 479/2020, de 7 de abril, por el que se establece el currículo básico del Curso de especialización en ciberseguridad, incluye módulos específicos sobre hacking ético, destacando la importancia de esta disciplina en la formación de expertos en ciberseguridad.

La cultura hacker también ha influido significativamente en el desarrollo de la tecnología y la ética digital. El “Manifiesto Hacker“, escrito por Loyd Blankenship (alias “The Mentor”) en 1986, es un ejemplo emblemático de los principios que guían a muchos en esta comunidad: la creencia en el libre acceso a la información, la desconfianza hacia las autoridades centralizadas y la convicción de que los ordenadores pueden mejorar nuestras vidas.

A lo largo de este tema, descubriremos las distintas facetas del hacking, desde sus fundamentos éticos hasta las técnicas utilizadas en la práctica. Analizaremos las fases de un test de penetración, los diferentes tipos de hackers y las herramientas empleadas en la búsqueda de información para detectar vulnerabilidades. Además, abordaremos el análisis forense como una disciplina fundamental para mitigar los incidentes de seguridad.

9.1. Qué es y qué no es hacking

9.1.1. Origen y evolución del término

El término hacker surgió en el Instituto Tecnológico de Massachusetts (MIT) en la década de 1960, donde un grupo de estudiantes apasionados por la tecnología, conocidos como el Tech Model Railroad Club, utilizaban el término para describir soluciones técnicas ingeniosas y creativas.

Para ellos, un «hack» era una solución elegante a un problema técnico, y un hacker era alguien que disfrutaba explorando los límites de los sistemas para entenderlos y mejorarlos.

Con el tiempo, el término hacker fue adoptado por la comunidad informática para describir a individuos con habilidades avanzadas en programación y sistemas. Sin embargo, en las décadas siguientes, los medios de comunicación comenzaron a asociar el término con actividades ilegales, lo que llevó a una percepción negativa del mismo. A pesar de ello, dentro de la comunidad tecnológica, hacker sigue siendo un término respetado que denota habilidad, curiosidad y pasión por la tecnología.

9.1.2. La diferencia entre un hacker y un ciberdelincuente

Es fundamental distinguir entre un hacker y un ciberdelincuente.​

• Hacker: persona con profundos conocimientos técnicos, que utiliza sus habilidades para explorar sistemas, identificar vulnerabilidades y, en muchos casos, fortalecer la seguridad de dichos sistemas. Los hackers pueden actuar de forma ética (white hats), de forma maliciosa (black hats) o en una zona intermedia (grey hats).​

• Ciberdelincuente: individuo que utiliza sus conocimientos informáticos para actividades ilegales, como el robo de información, fraudes, distribución de malware, entre otros. Su objetivo principal es obtener beneficios personales o causar daño.​

La confusión entre ambos términos ha sido alimentada por representaciones mediáticas que asocian el término hacker con actividades delictivas. Sin embargo, es importante tener clara esta distinción para reconocer y valorar el papel positivo que muchos hackers desempeñan en la ciberseguridad.

9.1.3. Hacking en la cultura popular vs. realidad técnica

En la cultura popular, el hacking a menudo se representa de manera sensacionalista: individuos encapuchados escribiendo código a gran velocidad en habitaciones oscuras, accediendo a sistemas gubernamentales en segundos. Películas como Hackers (1995) o Matrix (1999) han contribuido a esta imagen estereotipada.​

En la realidad, el hacking, especialmente el ético, es un proceso meticuloso que implica análisis, pruebas y documentación. Los hackers éticos utilizan metodologías específicas para evaluar la seguridad de sistemas y redes, con el objetivo de identificar y corregir vulnerabilidades antes de que puedan ser explotadas por actores maliciosos.​

Además, existen comunidades y eventos dedicados al hacking ético y la ciberseguridad, como las conferencias DEF CON y Black Hat, donde los profesionales de estos sectores comparten conocimientos, herramientas y experiencias para fortalecer la seguridad digital.

9.2. Hacking vs. Hacking ético

El hacking ético es la práctica de utilizar habilidades y técnicas de hacking para identificar y corregir vulnerabilidades en sistemas informáticos de manera legal y autorizada. Los profesionales que lo ejercen, conocidos como hackers éticos o white hats, actúan con el consentimiento de las organizaciones para fortalecer su seguridad digital.

Estos expertos emplean las mismas herramientas y metodologías que los hackers maliciosos, pero con el objetivo de prevenir ataques y proteger la información sensible. Su labor es fundamental en la ciberseguridad moderna, ya que permiten a las empresas anticiparse a posibles amenazas y cumplir con normativas de protección de datos.

9.2.1. Marco legal en España y la UE

En España, el hacking ético se encuentra regulado por el Código Penal, que establece sanciones para accesos no autorizados a sistemas informáticos. Sin embargo, cuando estas actividades se realizan con el consentimiento expreso de los propietarios de los sistemas, se consideran legales y están amparadas por la ley.

Además, el Reglamento General de Protección de Datos (RGPD) [enlace 🔗] de la Unión Europea exige a las organizaciones garantizar la seguridad de los datos personales que manejan. El hacking ético es una herramienta clave para cumplir con estas obligaciones, ya que permite identificar y subsanar posibles brechas de seguridad.

⚠️ Es importante destacar que, para llevar a cabo actividades de hacking ético, es imprescindible contar con la autorización formal de la organización. Sin este consentimiento, cualquier intento de acceso o prueba de seguridad podría considerarse ilegal.

9.2.2. El rol del hacker ético en la ciberseguridad

Los hackers éticos desempeñan un papel fundamental en la protección de los activos digitales de las organizaciones. Sus principales funciones incluyen:

• Realizar pruebas de penetración (pentesting): simulan ataques para evaluar la resistencia de los sistemas.​
• Identificar y corregir vulnerabilidades: detectan fallos de seguridad y proponen soluciones.
• Asesorar en políticas de seguridad: colaboran en el diseño de estrategias para prevenir ciberataques.

Ejemplo: Soledad Antelada Toledano, además de hacker es una ingeniera malagueña que ha trabajado en el Lawrence Berkeley National Laboratory y en Google, y recientemente se ha unido a la campaña de Kamala Harris como subdirectora de Seguridad de la Información. Antelada también es fundadora de la organización Girls Can Hack, que promueve la integración de mujeres en tecnología y ciberseguridad.

9.3. Fases del hacking ético (Metodología estándar)

El hacking ético es un proceso sistemático que sigue una serie de fases bien definidas. Estas etapas permiten a los profesionales de la seguridad informática identificar, evaluar y mitigar vulnerabilidades. A continuación, se detallan las fases estándar del hacking ético.

9.3.1. Reconocimiento (reconnaissance)

En esta fase inicial, el hacker ético recopila información sobre el objetivo, como direcciones IP, nombres de dominio, estructura de la red y posibles puntos de entrada. Esta información se puede obtener de manera pasiva, utilizando fuentes públicas como registros WHOIS [enlace 🔗], redes sociales o motores de búsqueda, o de manera activa, interactuando directamente con el sistema objetivo mediante técnicas como el escaneo de puertos. El objetivo es reunir la mayor cantidad de datos posibles sin alertar al objetivo.

9.3.2. Escaneo y enumeración

Con la información obtenida en la fase de reconocimiento, se procede a escanear y enumerar los sistemas y servicios activos en la red objetivo. Se utilizan herramientas como Nmap o Nessus para identificar puertos abiertos, servicios en ejecución y versiones de software.

Esta fase permite mapear la superficie de ataque y detectar posibles vulnerabilidades que puedan ser explotadas en fases posteriores.

9.3.3. Explotación

Una vez identificadas las vulnerabilidades, se intenta explotarlas para obtener acceso no autorizado al sistema. Esto puede implicar el uso de «exploits» conocidos, técnicas de inyección de código o ataques de fuerza bruta.

El objetivo es demostrar la existencia de fallos de seguridad y evaluar el impacto potencial de una intrusión real.​

9.3.4. Escalada de privilegios

Después de obtener acceso inicial, el hacker ético busca aumentar sus privilegios dentro del sistema para obtener un control más amplio. Esto puede implicar la explotación de vulnerabilidades adicionales o la manipulación de configuraciones de seguridad. La escalada de privilegios permite simular el comportamiento de un atacante que busca maximizar el daño o el acceso a información sensible.

9.3.5. Mantenimiento del acceso

En esta fase, se construyen mecanismos para mantener el acceso al sistema comprometido durante un período prolongado. Esto puede incluir la instalación de «backdoors» (puertas traseras), la creación de cuentas ocultas o la modificación de configuraciones del sistema.

El objetivo es evaluar la capacidad del sistema para detectar y responder a accesos persistentes no autorizados.​

9.3.6. Borrado de huellas

El hacker ético intenta eliminar cualquier evidencia de su actividad en el sistema, como registros de acceso o archivos temporales. Esta fase simula las acciones de un atacante real que busca ocultar su presencia y evitar la detección. Evaluar la eficacia de los mecanismos de registro y auditoría del sistema es fundamental para mejorar la capacidad de respuesta ante incidentes.

9.3.7. Redacción de informes (post-explotación)

Finalmente, se elabora un informe detallado que documenta todas las actividades realizadas durante el proceso de hacking ético, incluyendo las vulnerabilidades identificadas, las técnicas utilizadas y las recomendaciones para mitigar los riesgos. Este informe es de gran importancia para que la organización pueda tomar medidas correctivas y fortalecer su estrategia de seguridad.

9.4. Tipos de hackers

Los hackers se clasifican según sus intenciones, métodos y grado de legalidad. Esta clasificación se representa comúnmente mediante colores de sombrero, una metáfora inspirada en las películas del oeste, donde los protagonistas usaban sombreros blancos y los antagonistas, negros.​

9.4.1. White hat

Los white hat o hackers éticos son profesionales que utilizan sus habilidades para mejorar la seguridad. Trabajan con autorización y dentro del marco legal, realizando evaluaciones de vulnerabilidades para prevenir ataques maliciosos.​

Ejemplo: Tsutomu Shimomura ayudó al FBI a rastrear y arrestar a Kevin Mitnick, uno de los hackers más buscados de la historia. Shimomura utilizó sus conocimientos para rastrear las actividades de Mitnick y colaborar en su captura.​

9.4.2. Black hat

Los black hat son hackers que violan la seguridad de sistemas con fines maliciosos. Sus actividades incluyen el robo de información, la distribución de malware y ataques de denegación de servicio.​

Un caso emblemático es el de Kevin Mitnick, quien en la década de 1990 accedió ilegalmente a sistemas de empresas como IBM y Motorola. Tras su arresto y condena, Mitnick se rehabilitó y se convirtió en consultor de seguridad, adoptando el rol de white hat.

9.4.3. Grey hat

Los grey hat operan en una zona intermedia. Acceden a sistemas sin autorización, pero sin intenciones maliciosas. Suelen identificar vulnerabilidades y, en ocasiones, informan a los responsables, aunque sus acciones pueden ser ilegales.​

Un ejemplo es Khalil Shreateh, quien en 2013 descubrió un fallo en Facebook que permitía publicar en el muro de cualquier usuario. Al no recibir respuesta de la empresa, demostró la vulnerabilidad publicando en el muro de Mark Zuckerberg. Aunque el fallo fue corregido, su cuenta fue suspendida por violar las políticas de la plataforma.​

9.4.4. Script kiddies y hacktivistas

Los script kiddies son individuos con conocimientos limitados que utilizan herramientas creadas por otros para llevar a cabo ataques. Aunque carecen de habilidades avanzadas, pueden causar daños significativos.​

Por otro lado, los hacktivistas emplean técnicas de hacking para promover causas políticas o sociales.

El grupo Anonymous es un ejemplo conocido, realizando ataques para apoyar la libertad de expresión y protestar contra la censura.

9.5.5. Otros perfiles

Existen, también, otros tipos de hackers menos conocidos:​

• Red hat: actúan como vigilantes, atacando a black hats para neutralizarlos.
• Blue hat: empleados por empresas para probar sistemas antes de su lanzamiento.
• Green hat: principiantes ansiosos por aprender y mejorar sus habilidades.​
• Phreakers: especializados en sistemas telefónicos, explorando y explotando sus vulnerabilidades.

9.5. Técnicas de búsqueda de información: Information Gathering

El Information Gathering, también conocido como reconnaissance o footprinting, es la fase inicial en cualquier proceso de hacking. Consiste en recopilar la máxima información posible sobre el objetivo, ya sea una organización, sistema o individuo, utilizando fuentes públicas y técnicas específicas. Esta etapa es fundamental, ya que la información obtenida servirá para identificar posibles vulnerabilidades y planificar las siguientes fases del análisis de seguridad .​

9.5.1. Técnicas de Information Gathering

Las técnicas de Information Gathering se dividen en dos categorías principales:

• Pasivas: no interactúan directamente con el objetivo, evitando su detección. Incluyen la búsqueda en motores de búsqueda, análisis de redes sociales y consultas WHOIS.
• Activas: implican interacción directa con el sistema objetivo, como escaneos de puertos o análisis de servicios, y pueden ser detectadas por sistemas de seguridad.​

Algunas técnicas comunes incluyen:​

• Google Dorking: uso de operadores avanzados en motores de búsqueda para encontrar información específica.
• Análisis de metadatos: extracción de información oculta en documentos, como autores, rutas de archivos o versiones de software.​
• Consultas WHOIS: obtención de datos sobre la propiedad y administración de dominios.
• Revisión de redes sociales: identificación de información personal o profesional compartida por empleados o asociados.

9.5.2. Herramientas OSINT destacadas

Las herramientas OSINT (Open Source Intelligence Tool) son fundamentales en esta fase.

Una herramienta OSINT es un programa o plataforma diseñada para recopilar información pública disponible en Internet de manera automatizada y estructurada. “OSINT” significa inteligencia de fuentes abiertas, y se refiere a datos que cualquier persona puede obtener legalmente, sin necesidad de hackear o vulnerar sistemas.

Algunas de las más utilizadas son:

• Maltego: permite visualizar relaciones entre entidades como dominios, direcciones IP y perfiles de redes sociales, facilitando el análisis de conexiones. [Sitio web oficial 🔗]
• Shodan: conocido como el “Google de los dispositivos”, permite encontrar servidores, routers y otros dispositivos conectados a Internet, revelando posibles vulnerabilidades. [Sitio web oficial 🔗]
• FOCA: herramienta española que analiza metadatos de documentos para extraer información como nombres de usuarios, software utilizado y rutas de archivos. [Sitio web oficial 🔗]
• SpiderFoot: automatiza la recopilación de información desde diversas fuentes, generando informes detallados sobre el objetivo. [Sitio web oficial 🔗]
• Sherlock: desarrollada en Python, busca nombres de usuario en múltiples plataformas de redes sociales, ayudando a identificar la presencia digital de individuos. [Sitio web oficial 🔗]

9.5.3. Google Hacking (Dorks)

El Google Dorking es una técnica que utiliza operadores avanzados en motores de búsqueda para encontrar información específica.

Por ejemplo, el operador filetype:pdf permite buscar archivos PDF, mientras que site:example.com restringe la búsqueda a un dominio específico. Combinando estos operadores, se pueden descubrir documentos sensibles expuestos en Internet.

⚡ [Google Dorks te ayuda a encontrar información en la red 🔗]

Un caso notable fue el descubrimiento de documentos confidenciales de una empresa que, sin saberlo, había indexado informes financieros en su sitio web. Utilizando site:empresa.com filetype:xls, se accedió a hojas de cálculo con información sensible, lo que evidenció la importancia de controlar la información expuesta de forma pública.

9.6. Escaneo: pruebas de PenTesting

El escaneo es una fase crítica en las pruebas de penetración (PenTesting), ya que permite identificar los puntos de entrada potenciales en un sistema. Mediante el escaneo, se recopila información sobre puertos abiertos, servicios activos, versiones de software y sistemas operativos, lo que facilita la planificación de ataques controlados y la evaluación de la seguridad de los sistemas.

9.6.1. Escaneo de puertos y servicios

El escaneo de puertos consiste en enviar paquetes a diferentes puertos de un host para determinar cuáles están abiertos y qué servicios están asociados a ellos. Esta información es importante para identificar posibles vulnerabilidades y planificar ataques.

Existen diferentes tipos de escaneo de puertos:​

• TCP Connect Scan: establece una conexión completa con el puerto objetivo. Es fácil de detectar por los sistemas de seguridad.
• SYN Scan: envía paquetes SYN para identificar puertos abiertos sin completar la conexión. Es más sigiloso y rápido.
• UDP Scan: envía paquetes UDP para identificar servicios que utilizan este protocolo. Es más lento y menos fiable debido a la falta de respuestas en algunos casos.

9.6.2. Uso de herramientas como Nmap

Nmap (Network Mapper) es una herramienta de código abierto ampliamente utilizada para escanear sistemas concectados. Permite descubrir hosts activos, puertos abiertos, servicios en ejecución y sistemas operativos.

Para utilizar Nmap en Windows:​

1. Descargar Nmap desde su sitio oficial e instalarlo.​
2. Abrir la línea de comandos (cmd) y ejecutar los siguientes comandos:​

Escaneo de puertos:

nmap -p- 192.168.1.1

Este comando escanea todos los puertos del host con IP 192.168.1.1.

Nmap también ofrece una interfaz gráfica llamada Zenmap, que facilita el uso de sus funcionalidades.

9.6.3. Detección de versiones y sistemas operativos

La detección de versiones de servicios y sistemas operativos es fundamental para identificar posibles vulnerabilidades. Nmap proporciona opciones específicas para esta tarea:​

Detección de versiones de servicios:

nmap -sV 192.168.1.1

Este comando interroga los servicios en los puertos abiertos para determinar su versión.​

Detección de sistema operativo:

nmap -O 192.168.1.1

Este comando analiza las respuestas del host para identificar su sistema operativo.

Nmap utiliza una base de datos de huellas digitales para comparar las respuestas obtenidas y determinar la versión del sistema operativo.

9.6.4. Pruebas de intrusión controlada

Las pruebas de intrusión controlada, consisten en simular ataques reales para evaluar la seguridad de un sistema. Estas pruebas deben realizarse con autorización y siguiendo un plan definido.

Existen diferentes tipos de pruebas de intrusión:​

• Caja negra: el atacante no tiene información previa sobre el sistema.​
• Caja gris: el atacante tiene información limitada.
• Caja blanca: el atacante tiene acceso completo a la información del sistema.​

A continuación, se presenta un ejemplo práctico de escaneo de puertos utilizando Python en Windows:

import socket

def escanear_puertos(host, puertos):
    for puerto in puertos:
        s = socket.socket(socket.AF_INET, socket.SOCK_STREAM)
        s.settimeout(1)
        resultado = s.connect_ex((host, puerto))
        if resultado == 0:
            print(f"Puerto {puerto} abierto")
        s.close()

host = '192.168.1.1'
puertos = range(20, 1025)
escanear_puertos(host, puertos)

Este script escanea los puertos del 20 al 1024 en el host especificado y muestra cuáles están abiertos.

9.7. Vulnerabilidades en sistemas

Las vulnerabilidades en sistemas son debilidades que pueden ser explotados por atacantes para comprometer la seguridad de una organización. Estas vulnerabilidades pueden surgir por errores en el software, configuraciones incorrectas o factores humanos. Identificarlas y gestionarlas adecuadamente es elemental para proteger la información.

9.7.1. Tipos de vulnerabilidades (software, configuración, humanas)

Las vulnerabilidades se pueden clasificar en varias categorías:​

• Vulnerabilidades de software: son errores o fallos en el código de aplicaciones o sistemas operativos que pueden ser aprovechados por atacantes. Ejemplos incluyen desbordamientos de búfer, inyecciones SQL y errores de validación de entradas.
• Vulnerabilidades de configuración: surgen cuando los sistemas no están configurados correctamente, lo que puede permitir accesos no autorizados o exposición de información sensible. Por ejemplo, dejar puertos abiertos innecesariamente o utilizar contraseñas predeterminadas.​
• Vulnerabilidades humanas: resultan de errores o negligencias por parte de los usuarios, como utilizar contraseñas débiles, caer en ataques de phishing o no aplicar actualizaciones de seguridad. La falta de formación y concienciación en ciberseguridad es un factor clave en este tipo de vulnerabilidades.

9.7.2. Exploits y vectores de ataque comunes

Un exploit es una herramienta o técnica que aprovecha una vulnerabilidad para realizar un ataque. Los vectores de ataque son los métodos o caminos que utilizan los atacantes para explotar estas vulnerabilidades. Algunos de los más comunes incluyen:

• Phishing: envío de correos electrónicos fraudulentos que buscan engañar al usuario para que revele información confidencial.
• Malware: software malicioso diseñado para dañar o acceder a sistemas sin autorización.​
• Ataques de fuerza bruta: intentos repetitivos de adivinar contraseñas o claves de acceso.​
• Inyección SQL: inserción de código malicioso en consultas SQL para acceder o manipular bases de datos.​
• Ataques de denegación de servicio (DDoS): saturación de recursos de un sistema para impedir su funcionamiento normal.

9.7.3. CVE y bases de datos de vulnerabilidades

El sistema CVE (Common Vulnerabilities and Exposures) proporciona una nomenclatura estándar para identificar y catalogar vulnerabilidades de seguridad conocidas públicamente. Cada vulnerabilidad recibe un identificador único, como CVE-2024-12345, que facilita su seguimiento y gestión.

Las principales bases de datos que recopilan y publican información sobre vulnerabilidades incluyen:​

• MITRE CVE: base de datos mantenida por la organización MITRE que proporciona información detallada sobre cada CVE.​ [Sitio web oficial 🔗]
• NVD (National Vulnerability Database): base de datos del NIST que ofrece análisis adicionales, como puntuaciones de severidad y soluciones recomendadas. [Sitio web oficial 🔗]
• CISA KEV Catalog: catálogo de vulnerabilidades explotadas activamente, mantenido por la Agencia de Ciberseguridad y Seguridad de Infraestructura de EE. UU.​ [Sitio web oficial 🔗]

Estas bases de datos son herramientas indispensables para profesionales de la seguridad, ya que permiten mantenerse informados sobre las últimas amenazas y aplicar medidas correctivas oportunas.

9.7.4. Sistemas de gestión de parches

La gestión de parches es el proceso de identificar, adquirir, probar e instalar actualizaciones de software para corregir vulnerabilidades. Un sistema eficaz de gestión de parches incluye:

1. Inventario de activos: identificación de todos los sistemas y aplicaciones que requieren mantenimiento.​
2. Monitoreo de vulnerabilidades: seguimiento de las bases de datos de CVE y otros recursos para detectar nuevas amenazas.​
3. Evaluación de riesgos: determinación de la criticidad de cada vulnerabilidad y priorización de su corrección.​
4. Pruebas de parches: verificación de que las actualizaciones no afecten negativamente al funcionamiento del sistema.​
5. Implementación: aplicación de los parches en los sistemas afectados.
6. Documentación: registro de todas las acciones realizadas para futuras auditorías y análisis.​

9.8. Análisis forense

El análisis forense digital es una disciplina que se encarga de identificar, preservar, analizar y presentar evidencias digitales de manera que sean admisibles en procedimientos legales. Es fundamental en la investigación de incidentes de seguridad, delitos informáticos y cualquier situación en la que se requiera obtener información de dispositivos electrónicos.

9.8.1. Preservación de evidencias digitales

La preservación de evidencias digitales es el primer paso en cualquier investigación forense. Consiste en asegurar que los datos recogidos no sean alterados, dañados o eliminados durante el proceso de adquisición y análisis. Para ello, se utilizan técnicas como:​

• Clonado de discos: se realiza una copia exacta del dispositivo de almacenamiento para trabajar sobre ella, manteniendo intacto el original.​
• Cálculo de hash: se generan valores hash (por ejemplo, SHA-256) antes y después del clonado para verificar la integridad de los datos.​
• Documentación detallada: se registra cada paso realizado, incluyendo fechas, horas, personas involucradas y herramientas utilizadas.​

Estas medidas garantizan que la evidencia digital sea válida y confiable en un proceso judicial.

9.8.2. Herramientas forenses básicas

Existen diversas herramientas utilizadas en el análisis forense digital. Algunas de las más comunes y accesibles son:​

• Autopsy: interfaz gráfica para The Sleuth Kit, permite analizar discos duros, recuperar archivos eliminados y examinar metadatos. [Sitio web oficial 🔗]
• FTK Imager: herramienta para crear imágenes forenses de discos y visualizar su contenido sin alterar los datos originales.​ [Sitio web oficial 🔗]
• Wireshark: analizador de protocolos de red que permite capturar y examinar el tráfico de red en tiempo real.​ [Sitio web oficial 🔗]
• Volatility: framework para el análisis de memoria RAM, útil para detectar malware y procesos ocultos.​ [Sitio web oficial 🔗]
• Magnet RAM Capture: herramienta para capturar la memoria RAM de un sistema en ejecución para su posterior análisis. [Sitio web oficial 🔗]

9.8.3. Cadena de custodia y validez legal

La cadena de custodia es el proceso que garantiza la integridad y autenticidad de las evidencias digitales desde su recogida hasta su presentación en juicio. Implica documentar cada transferencia de la evidencia, incluyendo:

• Identificación: asignar un identificador único a cada evidencia.​
• Registro de transferencias: anotar quién, cuándo y cómo se ha manejado la evidencia.
• Almacenamiento seguro: guardar las evidencias en lugares con acceso restringido y controlado.

El incumplimiento de la cadena de custodia puede llevar a la inadmisibilidad de la evidencia en un proceso judicial. Por ello, es necesario seguir protocolos estrictos y utilizar herramientas que registren automáticamente las acciones realizadas sobre las evidencias.

9.8.4. Aplicaciones prácticas (casos reales)

El análisis forense digital se aplica en múltiples contextos, desde investigaciones criminales hasta auditorías internas en empresas. Veamos algunos ejemplos recientes que han ocurrido en nuestro país:​

• Caso de espionaje con Pegasus: el expresidente catalán Pere Aragonès fue víctima de espionaje mediante el software Pegasus entre 2018 y 2020. Los Mossos d’Esquadra realizaron un análisis forense de su dispositivo móvil, confirmando la infección y la exfiltración de datos personales y políticos.

• Operación contra explotación online de menores: en diciembre de 2024, la Guardia Civil desmanteló una red nacional de explotación online de menores. La investigación incluyó el análisis forense de dispositivos electrónicos, permitiendo identificar a los responsables y recopilar pruebas digitales clave para el proceso judicial.

Estos dos casos demuestran la importancia del análisis forense digital en la protección de los derechos fundamentales y la persecución de delitos, especialmente en una sociedad como la nuestra en la que los dispositivos digitales están presentes en todo momento.​